在過去五年的大部分時間里，物聯網（IoT）一直是網絡和安全專業(yè)人員關注的重點。在工業(yè)物聯網（IIoT）領域尤其如此?；ミB的工業(yè)設備并不是什么新鮮事物，但是大多數IT人員并不熟悉它們，因為它們已經由運營技術（OT）團隊進行管理。但是，越來越多的企業(yè)領導者希望將OT和IT結合在一起，以便從合并的數據集中獲得更好的見解。

雖然合并IT和OT并擁有IIoT擁有許多優(yōu)勢，但它對網絡安全團隊產生了深遠的影響，因為它引入了一些新的安全威脅。每個連接的端點（如果遭到破壞）都會為其他系統創(chuàng)建后門。

保護IIoT環(huán)境的一種方法是使用內部防火墻。這似乎是一個顯而易見的選擇，因為內部防火墻已成為保護幾乎所有內容的事實上的標準。但是，在IIoT環(huán)境中，由于成本和復雜性，防火墻可能是最差的選擇。

從歷史上看，內部防火墻被部署在流量沿“南北”方向移動的地方，并會通過單個入口/出口點，例如核心交換機。而且，連接的設備都是由IT已知和管理的。借助IIoT，連接可以變得更加動態(tài)，流量可以“東西向”模式在設備之間流動，從而繞過防火墻的位置。這意味著安全團隊需要在每個可能的IIoT連接點部署內部防火墻，然后跨數百個（可能是數千個）防火墻管理策略和配置，從而造成幾乎無法控制的情況。

為了更好地了解此問題的嚴重性，我與專門研究IIoT安全解決方案的Tempered Networks總裁兼首席執(zhí)行官Jeff Hussey進行了交談，他向我介紹了該公司的一位使用內部防火墻的客戶。在對所有內部防火墻需要去的地方進行了廣泛的評估之后，該公司估計防火墻的總成本約為1億美元。即使企業(yè)負擔得起，運營方面也存在另一層挑戰(zhàn)。

然后，Hussey向我介紹了一個醫(yī)療保健客戶，該客戶正在嘗試使用防火墻規(guī)則，ACL，VLAN和VPN的組合來保護其環(huán)境，但是，正如他所說，“復雜性正在殺死它們”，因此無法獲得任何東西這樣做是因為運營開銷。

我還與國際控制系統網絡安全協會（CS2AI）的創(chuàng)始人兼董事長Derek Harp進行了交談，后者在IIoT領域做了很多工作。他描述了當前的IIoT環(huán)境隨著網絡的不斷發(fā)展和“開放性”的發(fā)展而變得越來越“多孔”，因為第三方需要從內部系統訪問數據。拋棄威脅參與者的高級技能水平，不難發(fā)現，網絡安全團隊可以與傳統網絡安全抗衡不是一場戰(zhàn)斗。

安全專業(yè)人員應該使用IIoT微分段，而不是使用內部防火墻。分段類似于VLAN和ACL的使用，但是環(huán)境隔離是在設備級別完成的，并通過規(guī)則而不是在網絡層進行管理。使用VLAN和ACL，需要將所有設備（包括IIoT端點）分配給VLAN。如果端點移動，則需要重新配置網絡以適應該問題。如果不是這樣，則該設備將無法連接或與被破壞的壞事可能會發(fā)生的設備位于同一網絡上。

幾年前的Target違規(guī)事件就是一個很好的例子，零售商的HVAC系統遭到破壞，這為銷售點（PoS）系統制造了后門。傳統的安全性在高度靜態(tài)的環(huán)境中非常有效，但是IIoT可以通過設備定期加入和離開網絡來實現高度動態(tài)。

分段的好處是它是在軟件中完成的，并且在設備連接層上運行，因此策略遵循端點。例如，可以創(chuàng)建一個規(guī)則，其中所有醫(yī)療設備都位于特定的段中，并且與其余連接的節(jié)點隔離。如果醫(yī)療設備移動了，則該策略將隨之而來，并且無需重新配置。如果Target一直在使用IIoT微細分，并且HVAC和PoS系統位于不同的細分市場（從最佳實踐的角度來看，應該是這些細分市場），那么可能發(fā)生的最壞情況是商店溫度過高。

微分段已用于數據中心，以保護在虛擬機和容器之間流動的橫向流量。網絡安全團隊現在應該考慮將該技術擴展到更廣泛的網絡，第一個用例是保護IIoT端點。這將使企業(yè)能夠推進數字化轉型計劃，而不會給公司帶來風險。